KorDen

Хотелось бы прояснить: 1) Поддержка IPsec есть/будет во всех устройствах с 2.06+, или исключая какие-то младшие модели? Какая (ориентировочно) скорость на AES-128/SHA1 на младших моделях, поддерживающих IPsec? 2) Какие конкретно модели поддерживают crypto engine hardware? Giga 2/3, Ultra 1/2, еще какие-то есть?

Раз решение ошибки нетривиальное - конечно смысла нет.. Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные. Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..

Как я понимаю, доступ к интернету будет, когда запилят IPIP/EoIP-туннели, т.е. позже...

Да, IP настоящие там, это я "замазал"

А я вот пытаюсь понять, вроде же как в винде есть штатная поддержка IPsec через правила фаервола.. Но попытка настроить пока приводит к "no IKE config found for a.a.a.a...b.b.b.b, sending NO_PROPOSAL_CHOSEN", хотя на кинетике указаны все возможные методы согласования в обоих фазах..

С необходимостью отображения (ввода) голых цифр вместо процентов и попугаев я полностью согласен. Но обывателю сложно понять что шкалы мощности нелинейные. Поэтому в веб-интерфейсе я бы хотел видеть рядом с попугаями в скобках реальные значения - это опять возвращаясь к "Верните вкладку Клиенты WiFi" - палки-попугаи бесят. Почему-то для модемов это отображается, причем разработчики даже иногда высчитывают значения из попугаев, которые передает модем, а сами делают то же самое Впрочем, для уровней подключенных клиентов есть sh associations, там и rssi и mcs/gi отображаются. А вот с возможностью превышения разрешенных/рекомендуемых параметров мощности (и других потенциально влияющих на эфир настроек) не могу согласиться - далеко не все "продвинутые" пользователи понимают что делают. Врубить мощу побольше, антенны подлиннее, поставить этот кирпич на окно - чтобы ловить домашнюю сеть со смартфона на работе за пару километров - таких много, и не все переходят на следующую ступень. Для экспериментаторов есть OpenWRT и аналоги, в официальной прошивке этому не место.

... в котором ЕМНИП до сих пор, среди кучи редчайших настроек беспроводной сети нет банального Beacon interval... Или чего-то еще из подобного, что было даже в длинках эпохи самых-самых первых DIR-300... 6 - это еще что за мощность? Она же настраивается уже, или вы про другую какую? 7 - могу сильно ошибаться, но вроде бы же оно реально работает только в энтерпрайзных AP, где антенны строго определенно расположены, нет?

"Домашняя группа"

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

На 9.3.3 / 9.3.4 немножко по-другому (у самого яблочной техники нет, прошелся по знакомым..)

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично. В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить. threads-ipsec.zip

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4 При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать. Пример конфига:

За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...

Система -> Пользователи

Работает, спасибо!

Типа того.. Там черт-знает-что советского времени, но зато прямой двухпроводной линк есть между определенными точками, авось хотя бы на 5-10 мбит/с заведется.. А если немного переделать сомнительные места где возможно (в целях повышения скорости), да если еще можно будет IPsec на мост повесить (параноики атакуют) - вообще шикарно будет. Именно ради подобных экспериментов точка-точка и жду Plus DSL. Если по-простому, из моих знаний (возможно ошибочных в нюансах) - то так: в линейке 4G "урезанный" USB, поддерживает только модемы. Во всех других черных кинетиках - "полноценный", можно подключить флешки-мфу-утюги-чайники-ардуины. В белых кинетиках USB были чем-то средним - флешки-мфу заводились, а вот утюги-ардуины уже с нюансами. Что, впрочем, не мешало играть музыку и снимать видео белой гигой, на v1.04 и тогда еще Optware.. Из тех же нюансов белых - на v1.11 звуковушка уже не работала вроде бы.

На оффсайте висит Речь-то о релизных прошивках, вроде же говорилось что DECT и DSL будут поддерживаться в большинстве черных кинетиков с полноценным USB (т.е. кроме 4G). В бета/альфа-прошивках модули вроде как во всей линейке 2.06 есть, хотя могу ошибаться... PS: я все жду-не дождусь потестить VDSL-мост по полевке

В сетевом окружении компьютеры удаленной сети не будут видны ни по IPsec ни по PPTP, т.к. через туннель не ходят бродкасты. Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"

Это у вас самый первый белый кинетик чтоль?

На данный момент OpkgRunScript запускает все из /etc/ndm/buttons.d/ с параметром start. Понять, какая кнопка нажата (и как - одинарное, двойное, или длинное нажатие) нельзя. Предложение мельком всплывало в марте от кого-то, но так и забыли про него. Лично я вижу два варианта: Первый, более логичный, на мой взгляд, - передавать в параметрах к запускаемым скриптам кнопку и тип нажатия (в результате $2=FN1 $3=click например) Второй - добавить параметр в CLI, указывающий имя конкретного скрипта для каждой кнопки и варианта нажатия. -- Кстати, в текущем мануале по CLI (свежий от 15 августа) нет OpkgRunScript, кроме того, для Ultra 2 говорится про кнопку FN, хотя там FN1 и FN2.

Для PPTP-сервера на кинетике (TCP/1723) можно штатным МСЭ ограничить долбежку китайских ботов, добавив вначале нужные IP с allow, а потом добавив deny all. Для IPsec (UDP/500) этого сделать не получается. Есть ли варианты это сделать без opkg/iptables?

@Rezdbic При копировании файлов по SMB по туннелю Giga II <-> Ultra II (AES128, crypto engine hardware с обоих сторон) по гигабитной сети скорость в туннеле у меня была около 13 МБайт/с или чуть более 100 мбит/с. Единственно - там есть баг, который пока ставит крест на IPsec, описывал здесь:

А если апач заменить на nginx+php-fpm? Я все хочу запустить кактус на Entware (keenle либо 3x), но у меня что-то Mysql не запускается на keenle, да и похоже может не хватить некоторых модулей php... В итоге в раздумьях - пробовать ли debian, или все же пытаться завести на Entware PS: С появлением SNMP похоже надо пилить отдельную тему по запуску Cacti и аналогов прямо на роутере и всеми связанными с ними багами...

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется